【マルウェア】中国と密接につながったバックドア「Daxin」は「インターネットに直接接続していないデバイス」を乗っ取れることが判明

サイバーセキュリティ企業・ノートンライフロックのThreatHunterチームが、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と協力して、インターネットに直接接続されていないセキュリティで保護されたデバイスにリモートアクセスできるようになるマルウェア「Daxin」に関する情報を開示しました。

CISAによると、「Daxin」はインターネットに直接接続されていないセキュリティ的に保護された状態にあるはずの端末に、リモートでアクセスできるようにするための複雑で検知することが難しいコマンド＆コントロール機能を有した高度なルートキットバックドアです。Daxinを利用することで、攻撃者はターゲットネットワークに深く潜り込み、データを盗み出すことが可能となります。なお、ThreatHunterチームによると、Daxinは中国の攻撃者により展開された「最も先進的なバックドアのひとつ」だそうです。

Daxinの特徴のひとつは、マルウェアの世界ではあまり典型的ではない「Windowsカーネルドライバーをターゲットとしたマルウェアである」という点。Daxinは高いステルス性を有しており、それはデータ交換と通常のインターネットトラフィックを組み合わせた高度な通信機能に由来します。

Daxinは攻撃者に侵害されたコンピューターシステムへのリモートアクセスを提供するマルウェアというだけでなく、感染端末からデータを盗んだり、遠隔からコマンドを実行したり、別のマルウェアをインストールしたりすることも可能です。Daxinのようなマルウェアは通常、保護されたネットワークから情報を盗んだり、デバイスをさらに侵害したりするために使用されるため、ネットワークトラフィック監視ツールに検出されることを回避するため、データ転送に暗号化または難読化を施します。一方Daxinの場合、端末上のネットワークトラフィックを監視し、特定のパターンを検出してこれを真似ることでネットワーク監視から逃れるよう設計されているとのこと。そして、ネットワークトラフィックの特定パターンを検出したのち、正当なTCPコネクションをハイジャックすることで、攻撃者はコマンド＆コントロールサーバーと通信することが可能となります。DaxinがTCPコネクションをハイジャックすることで、攻撃者は悪意のある通信データを正当なトラフィックに偽装可能となるわけです。

また、DaxinはTCPコネクションをハイジャックすることで感染デバイスを増やしていくため、感染源となる端末さえインターネットに接続されていれば、その他の端末がインターネットに接続されていなくても感染を広めることが可能です。他にも、Daxinの内蔵機能は感染した端末に追加のコンポーネントを配置することで拡張できます。この追加コンポーネントは32ビットのサービス識別子を特定ハンドルに関連付けるため、攻撃者はリモートから特定のメッセージを送信することで、このコンポーネントと通信することも可能となります。そのため、Daxinに感染した端末ネットワークの中で複雑な通信経路を確立することもでき、これにより悪意のあるトラフィックの検出が難しく、攻撃者が検知される可能性が「最小限に抑えられてしまう」というわけです。

2022年03月02日 21時00分
https://gigazine.net/news/20220302-china-malware-daxin/

スタンドアロンにはノベルティのUSBとか高価なUSBにウイルス仕込んでターゲットの身辺に置くってスパイの実情番組みたいのでやってた
中東の核精製工場だか何かはそれで落としたって言ってた

最近の半導体関連工場の連続事故もこういう奴なんじゃって疑っちゃう

恐ろシナ

家電とか自動車までもがなんでもネットにつながるような時代なんて
リスクでしかない。

安易にそこら中でスマホで画像や動画を撮ってたら、
何気に背景に写っちゃったようなものなどからも
どんな情報が抜かれてるかわかったもんじゃないし